Política para el Manejo y Tratamiento de Datos Personales
Universidad de Medellín / Política para el Manejo y Tratamiento de Datos Personales
Rectoría
RESOLUCIÓN 449 del 25 de octubre de 2016
Por la cual se adopta una nueva política para el manejo y tratamiento de datos personales en la Universidad de Medellín.
El RECTOR DE LA UNIVERSIDAD DE MEDELLÍN, en ejercicio de las facultades estatutarias, y
CONSIDERANDO:
Que la Ley 1581 de 2012 de Protección de Datos Personales, y su Decreto Reglamentario 1377 de 2013, complementan la regulación vigente para la protección del derecho fundamental que tienen todas las personas naturales para autorizar la información personal que es almacenada en bases de datos o archivos, así como su posterior actualización y rectificación.
Que el derecho de protección de datos personales es la facultad de los titulares, como dueños de los datos personales, para decidir a quién se proporciona su información, cómo y para qué. El derecho permite acceder, rectificar, cancelar y oponerse al tratamiento de la información del titular.
Que la Universidad de Medellín cuenta hoy con bases de datos físicas y electrónicas, en donde reposan datos personales e información confidencial, que ha recogido desde su fundación, y que es deber por tanto determinar las políticas para su manejo y utilización.
RESUELVE:
Artículo 1. Objeto. Adoptar las políticas para el tratamiento de los datos personales, manejo de bases de datos, formas de almacenamiento, criterios de utilización, procedimientos especiales en caso de oposición o dimisión y autorización para fines diferentes a los meramente educativos.
Artículo 2. Aplicación. Las disposiciones de esta resolución regulan de forma general los datos e informaciones recolectados por las dependencias de la estructura orgánica y funcional de la Universidad, en ejercicio de sus funciones estatutarias y reglamentarias, cuyo titular sea una persona natural, con protección en todo el ámbito del territorio de la República de Colombia, en donde se hace presencia bien como seccionales, centros regionales, programas extendidos o centros de tutoría.
Artículo 3. Responsable de las bases de datos. La Universidad de Medellín como Institución de Educación Superior, sin ánimo de lucro, con Personería Jurídica otorgada mediante Resolución MEN 103 del 31 de Julio de 1950, es quien actúa y es responsable de las bases de datos personales.
Artículo 4. Encargados del tratamiento de datos personales. Para efectos de esta política, la Universidad de Medellín será la encargada del tratamiento de las bases de datos que tenga a su disposición. Sin embargo, en virtud de las relaciones contractuales, pueden existir personas naturales o jurídicas que administren las bases de datos personales por encargo de la institución, situación en la cual se certificará por parte de ellas el cumplimiento de las normas relativas al tratamientos de datos personales y se suscribirá un acuerdo para compartir y tratar bases de datos personales, asumiendo las obligaciones que como encargado le ordena la Ley 1581 de 2012, el Decreto 1377 de 2013, la Circular Externa 002 del 3 de noviembre de 2015 expedida por la Superintendencia de Industria y Comercio y las demás normas concordantes con la materia.
Artículo 5. Oficial de tratamiento de datos. El Oficial de Tratamiento de Datos Personales y área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de los datos puede ejercer sus derechos, conocer, actualizar, rectificar, suprimir información y revocar la autorización de los datos personales es la División de Planeación. El titular podrá ejercer sus derechos mediante comunicación escrita o electrónica dirigida a la dirección protecciondedatos@udem.edu.co, o a la Carrera 87 N° 30 – 65, de la ciudad de Medellín, o en el número telefónico (4) 3405555 ext. 5315. El oficial dará trámite a la solicitud de conformidad con lo establecido en los artículos 14 y 15 de la Ley 1581 de 2012 y los artículos 20 al 23 del Decreto 1377 de 2013.
El ejercicio de los derechos de los titulares de los datos personales no podrá ejercerse si existe en curso una transacción comercial, terminada ésta se procederá a responder la solicitud. Lo anterior siempre y cuando los datos personales no sean requeridos y/o necesarios para el cumplimiento de obligaciones de ley.
Artículo 6. Finalidad. El tratamiento de los datos personales de los titulares vinculados con la Universidad de Medellín por relaciones académicas, culturales, comerciales, laborales o de otra índole tendrá como finalidad las siguientes:
- Adecuada gestión, administración, y mejora de los servicios de la Universidad.
- Realización de procesos internos, estadísticos, análisis cuantitativo y cualitativo de las actividades y visitas de los servicios ofrecidos.
- Ofrecimiento de nuevos productos o mejora de los existentes que puedan contribuir con el bienestar académico, administrativo, financiero, o de formación, ofrecidos por la Universidad o por terceros relacionados con su objeto y con cada una de las dependencias de la Universidad.
- El titular acepta el uso de sus datos en información promocional o comercial, noticias, cursos, eventos, boletines, congresos y productos relacionados con la Universidad.
En forma general, los titulares autorizan a la Universidad de Medellín el tratamiento de sus datos personales para ejecutar y cumplir con los contratos, acuerdos y convenios destinados a la prestación de los servicios del giro ordinario de los negocios de la institución. Los datos suministrados por estudiantes, colaboradores, prestadores, socios y demás usuarios de la Universidad de Medellín, podrán ser compartidos con otras empresas para fines comerciales o contractuales, salvo revocatoria expresa del titular de los datos, previa certificación del cumplimiento de las normas relativas al tratamientos de datos personales y la suscripción de un acuerdo para compartir y tratar bases de datos personales.
Artículo 7. Tratamiento de datos personales de niños, niñas y adolescentes. La Universidad de Medellín en cumplimiento de la Ley 1098 de 2006 sobre infancia y adolescencia, de la Ley 1581 de 2012 y de los derechos constitucionales de asociación y de información, reconoce que los menores de edad tienen la posibilidad de que éstos adquirieran la condición de usuarios de los productos y servicios de la Institución, siempre que actúen por intermedio o debidamente representados por sus padres o por quienes tengan la patria potestad del menor o su representación legal, previo ejercicio del menor de su derecho a ser escuchado, opinión que debe ser valorada teniendo en cuenta la madurez, autonomía y capacidad para atender el asunto.
La Universidad de Medellín asume la obligación de respetar y brindar las garantías para que los menores de edad, que tengan la condición de usuarios puedan ejercer su derecho de libertad de expresión, de libre desarrollo de la personalidad y de información, como lo consagra la Ley 1098 de 2006.
En cumplimiento de las normas colombianas respecto a menores de edad y del proceder responsable a que está obligada la Universidad de Medellín, para con la sociedad, asumimos los siguientes compromisos:
- Excluir del sistema de información los menores de edad que contrario a la verdad hayan afirmado al momento del registro tener una edad superior.
- Dar a conocer a las autoridades las situaciones delictivas de las que se tenga conocimiento y que pongan en peligro la integridad de un menor de edad. Para ello brindará toda la colaboración que requieran los órganos de seguridad del Estado.
Artículo 8. Autorizaciones del titular de datos personales. Es necesario el consentimiento libre, previo, expreso e informado del titular de los datos personales para el tratamiento de los mismos, salvo los casos que estén expresamente autorizados en la ley como la información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, los datos de naturaleza pública, los casos de urgencia médica o sanitaria y el tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
Se entenderá que la autorización cumple con los requisitos legales cuando el titular lo manifieste por escrito, de forma oral o mediante conductas inequívocas, que permitan concluir de forma razonable que otorgó la autorización, ello ocurre cuando proporciona los datos a través de nuestros canales, software, portal web, puntos de atención incluyendo conmutador, o cuando adquiere, se afilia o usa cualquiera de nuestros productos o servicios.
La Universidad de Medellín conservará las pruebas de la autorización concedida por los titulares de datos personales para el tratamiento de los mismos de conformidad con el artículo 8 Decreto 1377 de 2013.
Artículo 9. Derechos del titular de datos personales e información. Son derechos de los titulares de datos o información que reposen en las bases de la Universidad,
- Conocer, solicitar, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada al responsable del tratamiento para la recolección y tratamiento de los datos personales.
- Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, el Decreto 1377 de 2013 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante el responsable del tratamiento o encargado del tratamiento.
- Revocar la autorización o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, excepto cuando el titular tenga el deber legal o contractual de permanecer en las bases de datos del responsable o encargado.
- Sin perjuicio de las excepciones contempladas por la ley o por las autoridades competentes, acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento.
Artículo 10. Responsabilidad en caso de falsedad. Los titulares son los únicos responsables de que la información suministrada a la Universidad sea actual, exacta y veraz. En todo caso, los titulares son los únicos responsables por el suministro a la Universidad de la información falsa o inexacta y de los perjuicios que se causen a ésta o a terceros.
Artículo 11. Procedimiento para el ejercicio de los derechos de los titulares de datos personales. Para el ejercicio de sus derechos, el titular o sus representantes suministrarán la siguiente información: fecha de radicación, nombre completo del titular, tipo de identificación, número de identificación, dirección, teléfono, correo electrónico, tipo de operación solicitada (consulta de datos, corrección, actualización, supresión, revocatoria), descripción de los hechos que dan lugar a la solicitud, documentos que sirvan como soporte de su solicitud y firma.
Artículo 12. Procedimiento de consulta sobre el tratamiento de datos personales. La Universidad de Medellín pone a disposición de los titulares de los datos el correo electrónico protecciondedatos@udem.edu.co para elevar sus consultas; así mismo, recibe solicitudes en forma personal o vía correo en la Carrera 87 N° 30 – 65, de la ciudad de Medellín y en el número telefónico (4) 3405555 ext. 5315. Dicha solicitud contendrá los datos exigidos en el procedimiento para el ejercicio de los derechos de los titulares de datos personales, señalados en el artículo 11 de la presente resolución.
Artículo 13. Procedimiento para la corrección, actualización, rectificación o supresión de datos personales. La Universidad procederá a corregir, actualizar, rectificar o suprimir los datos personales por solicitud del titular o de su representante. Dicha solicitud contendrá los datos exigidos en el procedimiento para el ejercicio de los derechos de los titulares de datos personales, señalados en el artículo 11 de la presente resolución.
Si la solicitud es incompleta, la Universidad requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la fecha de su recepción, para que la subsane. La información requerida debe ser presentada por el solicitante dentro de los dos (2) meses siguientes al requerimiento; si no lo hace se entenderá que ha desistido de ella.
El término máximo de que dispone la Universidad para atender la solicitud es de quince (15) día hábiles contados a partir del día siguiente al de su recibo. Cuando no fuere posible atender la solicitud en este término, se informarán al interesado los motivos de la tardanza y la fecha previsible en la que se atenderá su solicitud que no superará los ocho (8) días hábiles siguientes al vencimiento del primer término.
Parágrafo. No podrá concederse la supresión de los datos personales por solicitud realizada por el titular o su representante, cuando exista un deber legal o contractual para que los datos personales permanezcan en la respectiva base de datos.
Artículo 14. Procedimiento para revocar la autorización dada para el tratamiento de datos personales. El titular de los datos personales o su representante, puede revocar la autorización dada para el tratamiento de sus datos personales, remitiendo esta solicitud a la Universidad, de conformidad con los requisitos señalados en el artículo 11 de la presente resolución, referidos al ejercicio del derecho de los titulares de datos personales.
La solicitud será procesada dentro de los quince (15) días hábiles siguientes, en caso contrario, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización.
Artículo 15. Tratamiento, trasmisión y transferencia internacional de datos personales. La información de los titulares puede ser transferida al exterior cumpliendo con la normatividad que se exija para el caso. El titular de datos personales acepta esta política y autoriza expresamente a la Universidad de Medellín para transferir la información, obligándose ésta a mantener la confidencialidad de la misma y adoptando los mecanismos necesarios para que terceros que reciben la información observen la presente política y la utilicen de manera exclusiva para asuntos directamente relacionados con el vínculo que sostienen con la Universidad, sin que pueda ser usada para fines distintos.
Podrá intercambiarse igualmente esta información personal con autoridades gubernamentales o públicas de otro tipo (autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria, fiscal, entre otras) y con terceros que participen en procedimientos legales o civiles y sus contadores, auditores, abogados y otros asesores y representantes en cuanto sea necesario o apropiado para cumplir con las leyes vigentes, incluidas las leyes distintas a las de su país de residencia, para cumplir con procesos jurídicos, para responder las solicitudes de las entidades públicas y del gobierno y para responder las solicitudes de las entidades públicas y del gobierno distintas a las de su país de residencia, para hacer cumplir nuestros términos y condiciones, para proteger sus operaciones, para proteger sus derechos, privacidad, seguridad o propiedad, los suyos o los de terceros y obtener las indemnizaciones aplicables o limitar los daños y perjuicios que nos puedan afectar.
Artículo 16. Política de uso y tratamiento. Sin menoscabo de los derechos constitucionales y las disposiciones legales y reglamentarias, la Universidad se reserva el derecho de modificar en cualquier momento su política de uso y tratamiento de información personal, privacidad y confidencialidad de la información existente en sus bases de datos, manteniendo el debido respeto por la leyes de protección e informando a los interesados por cualquier mecanismo de difusión dirigida o masiva no dirigida.
Artículo 17. Aviso de privacidad. La Universidad de Medellín como institución de educación superior, sin ánimo de lucro, con personería jurídica reconocida por la Resolución 103 de 31 de julio de 1950 del Ministerio de Justicia, con domicilio en la ciudad de Medellín en la Carrera 87 N° 30 – 65, y telefónico (4) 3405555 ext. 5315, en su condición de responsable o encargada del tratamiento de datos de carácter personal obtenidos de sus usuarios, proveedores, contratistas, clientes y en general de todas las personas que hayan facilitado o que en el futuro faciliten sus datos personales, les informa que el tratamiento de datos personales bajo su custodia, se realiza con base en lo dispuesto por Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, y que los titulares de datos personales contenidos en las bases de datos de nuestra institución, pueden solicitar la suscripción, cancelación, corrección o actualización de los mismos, en los términos dispuestos por las normas aludidas, y de acuerdo con lo previsto en las políticas de privacidad y ley de protección de datos personales, que puede ser consultado en el sitio web www.udem.edu.co en el link Protección de datos personales.
En cumplimiento de dichas normas se han adoptado las medidas de tipo legal, técnicas y organizacionales necesarias para evitar la pérdida, acceso o alteración de los datos personales a los cuales da tratamiento, con el objetivo de garantizar la seguridad e integridad de los mismos.
Los titulares de la información, a través de la autorización conferida para el efecto, aceptan de manera libre, expresa e inequívoca el tratamiento de sus datos personales por parte de la Institución para el cumplimiento del objeto de la Prestación de Servicios Educativos y Académicos, finalidades laborales, Comerciales, Investigativas, Formativas o Científicas e Informativas.
Artículo 15. Vigencia. La presente resolución rige a partir de la fecha de su expedición y deroga la resolución 399 de 8 de octubre de 2013.
Comuníquese.
Dada en Medellín, a los veinticinco (25) días del mes de octubre de dos mil dieciséis (2016).
NÉSTOR HINCAPIÉ VARGAS (Rector)
ESPERANZA RESTREPO DE ISAZA (Secretaria General)